Jump to content
Wutputt

Attachments - toegelaten file extensies

Recommended Posts

Wutputt    152
Wutputt

Geachte moderaille,

Zou het mogelijk zijn ook gpx-jes toe te laten als attachment?

image.png.38c696216e19ade31aa5e2aaee2b7e80.png

Share this post


Link to post
Share on other sites
dragonfly    7,990
dragonfly
1 minuut geleden, Ritsuke zei:

Uhm, ik vermoed van wel tenzij het nadelen kan hebben @dragonfly?

Helaas te gevaarlijk om dat zomaar voor iedereen toe te laten

  • Thanks Friendly 1

Share this post


Link to post
Share on other sites
dragonfly    7,990
dragonfly
11 minuten geleden, Goesting zei:

Waarom dan? Omdat het in feite een XML is?

Klopt

Share this post


Link to post
Share on other sites
Goesting    130
Goesting
20 minuten geleden, ir_fuel zei:

Dat is toch ook maar een tekstbestand?

Via XXE kan je daar in theorie allerhande soorten aanvallen mee doen op verschillende niveaus, *als* er ergens een lek zit tenminste.

Je zou dan kunnen zeggen: steek het in een ZIP-bestand! Maar daarmee zet je ook de deur open voor andere problemen.

Opmerkelijk dat een PDF wel toegelaten is, want dat bestandstype heeft ook een goed gevuld strafblad. Nu goed, het is zo erg niet als Flash of Java.

Share this post


Link to post
Share on other sites
ir_fuel    33,799
ir_fuel
2 minutes ago, Goesting said:

Via XXE kan je daar in theorie allerhande soorten aanvallen mee doen op verschillende niveaus, *als* er ergens een lek zit tenminste.

Maar ik denk niet dat GPX lezers dat ondersteunen? En als GPX niet herkend wordt op je computer wordt dat waarschijnlijk geopend door Notepad ofzo?

Enfin, ik zie in dit geval het gevaar niet?

 

Share this post


Link to post
Share on other sites
Goesting    130
Goesting

Op een PC is die extensie doorgaans niet geassocieerd met een programma, inderdaad.

Maar XXE aanvallen kunnen op alle plaatsen voorkomen, waar een XML parser zit. En dat kan dus ook in uw browser zijn, of op deze server waar de forumsoftware zelf dat bestand als XML begint te parsen (dat zou dan een bug met grote repercussies zijn). Want als de server dat bestand begint te interpreteren en uit te voeren, is het hek van de dam.

Share this post


Link to post
Share on other sites
ir_fuel    33,799
ir_fuel
6 minutes ago, Goesting said:

Op een PC is die extensie doorgaans niet geassocieerd met een programma, inderdaad.

Maar XXE aanvallen kunnen op alle plaatsen voorkomen, waar een XML parser zit. En dat kan dus ook in uw browser zijn, of op deze server waar de forumsoftware zelf dat bestand als XML begint te parsen (dat zou dan een bug met grote repercussies zijn). Want als de server dat bestand begint te interpreteren en uit te voeren, is het hek van de dam.

Dat lijkt me ook redelijk onwaarschijnlijk? De server voert toch geen logica uit op die attachments? Ik vermoed dat het gewoon een whitelist is op extensie?

Share this post


Link to post
Share on other sites
ir_fuel    33,799
ir_fuel

Bij deze dus een gpx geupload maar .pdf achteraan gezet :D 

  • Like 1
  • Funny 2

Share this post


Link to post
Share on other sites
ICM    14,872
ICM
7 minutes ago, ir_fuel said:

Bij deze dus een gpx geupload maar .pdf achteraan gezet :D 

Dat ging mijn voorstel zijn tot ik zag dat hij Dropbox had gebruikt.

Share this post


Link to post
Share on other sites
Goesting    130
Goesting
1 minuut geleden, ir_fuel zei:

Dat lijkt me ook redelijk onwaarschijnlijk?

Vind ik ook wel, maar in praktijk valt het blijkbaar nog veel voor. XXE staat in OWASP top 10: https://owasp.org/www-project-top-ten/

1 minuut geleden, ir_fuel zei:

De server voert toch geen logica uit op die attachments?

In principe niet, maar als ze er per ongeluk een bug insteken die het wel mogelijk maakt, zit je met de gebakken peren.

Meestal is het ook een samenloop van omstandigheden:

  • Zeroday van forumsoftware komt online
  • Forumbeheerder is 3 weken met vakantie
  • Patch wordt daardoor niet tijdig geïnstalleerd
  • Scriptkids scannen het internet af naar kwetsbare softwareversie xyz
  • ...
  • Plots liggen de e-mailadressen van al uw leden en de inhoud van privéberichten op straat :roll:

Share this post


Link to post
Share on other sites
dragonfly    7,990
dragonfly

IP Board is zo lek als een zeef dus we gaan het niet erger maken dan het al is. Tegenwoordig heeft iedereen wel een dropbox of OneDrive account en als je dat niet hebt kan je al zeker niet met een GPX overweg 😄 

Share this post


Link to post
Share on other sites
dragonfly    7,990
dragonfly
6 minuten geleden, ir_fuel zei:

Waarom de rest dan wel toelaten, zoals bv pdf?

Een PDF zal standaard niets uitvoeren dus ik begrijp je vraag niet goed

Share this post


Link to post
Share on other sites
Goesting    130
Goesting

Een vieze PDF is ook eerder een risico voor de eindgebruiker, dan voor de server.

Share this post


Link to post
Share on other sites
gTa    17,275
gTa
6 uren geleden, ir_fuel zei:

Bij deze dus een gpx geupload maar .pdf achteraan gezet :D 

Zalig :lolz: 

Go @Wutputt!! Gewoon manueel de extensie van gpx naar pdf wijzigen en dan kan je hier alsnog opladen. :D 

 

Share this post


Link to post
Share on other sites
Wutputt    152
Wutputt
21 hours ago, gTa said:

Zalig :lolz: 

Go @Wutputt!! Gewoon manueel de extensie van gpx naar pdf wijzigen en dan kan je hier alsnog opladen. :D 

 

Perfect! :D

Share this post


Link to post
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.


  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

Terms & Conditions